Criar e gerir regras de recolha de dados personalizadas no Microsoft Defender para Ponto de Extremidade (Pré-visualização)

  • Aplica-se a: Microsoft Defender for Endpoint

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

Este artigo mostra-lhe como criar e gerir regras de recolha de dados personalizadas no portal do Microsoft Defender.

Dica

Antes de criar regras de recolha personalizadas, reveja Recolha de dados personalizada para compreender quando e por que motivo deve utilizar esta funcionalidade.

Pré-requisitos

Certifique-se de que tem:

Requisito Detalhes
License Microsoft Defender para Ponto de Extremidade Plano 2
Microsoft Sentinel área de trabalho Área de trabalho Microsoft Sentinel ligada (necessária para armazenamento de dados personalizados)
Etiquetas dinâmicas Configurado na Gestão de Regras de Recursos e executado pelo menos uma vez
Sistemas operacionais com suporte • Windows 10 e 11 (versão mínima do cliente 10.8805; Windows 10 requer inscrição da ESU)
• Windows Server 2019 e posterior

Importante

Mesmo que tenha uma área de trabalho Microsoft Sentinel ligada, tem de selecionar a área de trabalho ao criar regras de recolha de dados personalizadas.

Desempenho e limites

  • Cada regra pode capturar até 25 000 eventos por dispositivo por janela temporal de 24 horas
  • Quando um dispositivo atinge o limiar, a telemetria dessa regra para até que a janela seja reposta
  • Normalmente, a implementação de regras demora entre 20 minutos e 1 hora
  • A coleção personalizada funciona juntamente com a configuração predefinida sem interferências

Considerações de segurança

Considere estas implicações de segurança antes de criar regras:

Considerações Detalhes Recomendação
Impacto no âmbito da regra Regras demasiado amplas geram grandes volumes de dados, aumentando os custos e dificultando a análise Equilibrar a especificidade com a cobertura ao iterar e refinar regras com base nos resultados iniciais
Regras demasiado estreitas Pode perder eventos de segurança importantes Testar com grupos piloto e monitorizar as lacunas na cobertura
Considerações de desempenho Cada dispositivo tem um limite de 25 000 eventos por regra por dia Utilizar várias regras focadas em vez de uma regra excessivamente ampla; regras de destino cuidadosamente para dispositivos em que a monitorização é essencial
Estratégia de teste Implementar regras sem testes pode levar a custos inesperados ou eventos perdidos 1. Comece com um pequeno grupo piloto (5 a 10 dispositivos)
2. Monitorizar o volume de dados e a qualidade do evento durante 24 a 48 horas
3. Refinar condições com base nos resultados
4. Expandir gradualmente para grupos de dispositivos maiores
5. Reveja regularmente as métricas de custo e desempenho

Custos de dados

  • A recolha de dados personalizados está incluída no Microsoft Defender para Ponto de Extremidade P2
  • A ingestão de dados em Microsoft Sentinel incorre em custos com base na faturação do Sentinel
  • Coleção de destino para grupos de dispositivos específicos para controlar os custos

Criar regras

  1. No portal Microsoft Defender, navegue para Definições> Regras dePontos FinaisRecolha>de Dados Personalizados>.

  2. Para integrar a área de trabalho Microsoft Sentinel, no canto superior direito, selecione o nome Microsoft Sentinel área de trabalho.

    Captura de ecrã a mostrar a seleção de uma área de trabalho Microsoft Sentinel.

  3. Na página Âmbito da área de trabalho, selecione a área de trabalho.

    Captura de ecrã a mostrar a seleção de um âmbito Microsoft Sentinel área de trabalho.

    Observação

    Tem de selecionar a área de trabalho nesta fase, mesmo que já tenha uma área de trabalho Microsoft Sentinel ligada.

  4. Selecione Criar regra. Na secção Informações Gerais , escreva um nome de regra e uma descrição e selecione Seguinte.

    Captura de ecrã a mostrar a criação de uma regra: página Informações Gerais.

  5. Na secção Criar regra :

    1. Selecione a tabela a partir da qual pretende recolher dados. Para obter mais informações, veja Tabelas de eventos suportadas.
    2. Selecione a ação para a qual pretende recolher dados.
    3. Adicione condições de regra para filtrar ainda mais os dados. Pode adicionar várias condições para refinar a recolha de dados. As condições da regra baseiam-se na tabela selecionada. Para obter mais informações, veja a respetiva ligação de tabela em Tabelas de eventos suportadas.

    Captura de ecrã a mostrar a criação de uma regra: Criar página de regra.

  6. Selecione Avançar.

  7. Na secção Definir âmbito da regra , selecione se pretende recolher dados de todos os dispositivos cliente aplicáveis ou de dispositivos específicos que incluam etiquetas dinâmicas. Para obter mais informações, veja Criar regras dinâmicas para dispositivos na gestão de regras de recursos.

    Captura de ecrã a mostrar a criação de uma regra: Definir página de âmbito.

    Observação

    A recolha de dados personalizada só suporta etiquetas dinâmicas.

  8. Na secção Rever e concluir , reveja as definições da regra e selecione Submeter.

    Captura de ecrã a mostrar a criação de uma regra: Página de revisão e conclusão.

A implementação da regra nos dispositivos visados pode demorar até uma hora.

Monitorar e solucionar problemas

Depois de implementar regras de recolha de dados personalizadas, monitorize o respetivo desempenho e resolva quaisquer problemas.

Verificar a implementação de regras

Para marcar se uma regra estiver a recolher dados de um dispositivo específico, consulte as tabelas de eventos personalizadas na investigação avançada:

search in (DeviceCustomFileEvents, DeviceCustomScriptEvents, DeviceCustomNetworkEvents, DeviceCustomProcessEvents, DeviceCustomImageLoadEvents) "your_device_id"
| where DeviceId == "your_device_id"
| summarize EventCount = count() by RuleName, RuleLastModificationTime, $table
| order by RuleLastModificationTime desc

Problemas comuns e soluções

Problema Causa possível Solução
Não foram recolhidos eventos Regra ainda não implementada Aguarde até 1 hora para a implementação; marcar regra status no portal
Não foram recolhidos eventos Dispositivo não direcionado corretamente Verifique se a etiqueta dinâmica foi aplicada ao dispositivo e se a regra de etiqueta foi executada na Gestão de Regras de Recursos
Os eventos deixaram de ser recolhidos 25.000 limite de eventos atingido Reveja as condições da regra para torná-las mais específicas; aguarde pela reposição do período de 24 horas
Dispositivos inesperados a recolher dados Etiqueta dinâmica aplicada amplamente Rever regras de etiquetas na Gestão de Regras de Recursos; refinar critérios de filtragem
Regra não visível no dispositivo O dispositivo não cumpre os requisitos do SO Verifique se a versão do cliente e a versão do SO cumprem os requisitos mínimos (Windows 10/11 versão 10.8805+, Windows Server 2019+)
A coleção personalizada não está a inicializar As exclusões EDR podem impedir a recolha Verifique se existem exclusões EDR em caminhos ou processos de destino; podem ser necessários reinícios de dispositivos se a coleção personalizada não estiver a inicializar
As etiquetas não estão a atualizar As etiquetas dinâmicas não foram executadas recentemente As etiquetas dinâmicas são atualizadas aproximadamente a cada hora — marcar Último tempo de execução na Gestão de Regras de Recursos

Monitorizar o desempenho das regras

  • Verificar o volume de eventos: consultar tabelas de eventos personalizadas para ver quantos eventos cada regra está a recolher
  • Rever status da coleção: Monitorizar se os dispositivos estão a aproximar-se do limite de 25 000 eventos por regra por dia
  • Validar filtragem: certifique-se de que as regras estão a ser implementadas nos dispositivos corretos com base nas etiquetas dinâmicas

Recolher todos os eventos para teste

Para recolher todos os eventos de uma tabela específica (para testes ou monitorização abrangente):

  1. Criar uma regra com a tabela pretendida
  2. Selecionar todas as ações disponíveis
  3. Adicione uma condição que seja sempre verdadeira, como:
    • Para eventos de rede: RemotePort not equals 0
    • Para eventos de ficheiro: FileName not equals ""
    • Para eventos de processo: ProcessCommandLine not equals ""
  4. Direcionar primeiro para um pequeno grupo piloto devido ao elevado volume de dados

Aviso

A recolha de todos os eventos gera volumes de dados muito grandes e pode atingir rapidamente o limite de 25 000 eventos por dispositivo. Utilize uma coleção abrangente apenas para fins de teste ou investigação específicos num pequeno número de dispositivos.

Gerir regras

Editar uma regra

  1. Navegue para Definições> Regrasde Pontos FinaisRecolha>de Dados Personalizados>
  2. Selecione a regra que pretende editar
  3. Selecione Editar
  4. Modificar as definições de regras conforme necessário (nome, descrição, tabela, ações, condições ou filtragem de dispositivos)
  5. Selecione Submeter

As alterações têm efeito nos dispositivos visados dentro de 20 minutos a 1 hora.

Ativar ou desativar uma regra

  1. Em Recolha de Dados Personalizados, selecione a regra
  2. Selecione ou desmarque a caixa de verificação Ativar na descrição da regra

Quando desativa uma regra, a recolha de dados para em todos os dispositivos visados no próximo agente marcar (normalmente, dentro de minutos a 1 hora).

Eliminar uma regra

  1. Em Recolha de Dados Personalizados, selecione a regra
  2. Selecione Eliminar
  3. Confirmar eliminação

Importante

Eliminar uma regra é permanente e não pode ser anulada. Os dados históricos no Microsoft Sentinel permanecem disponíveis, mas a nova coleção para imediatamente.

Próximas etapas

  • Last updated on